Pular para o conteúdo
Experimente a Segurança na Nuvem da RSA Gratuitamente

Comece agora o seu período de teste do ID Plus.

Começar

Introdução

A RSA se esforça para ajudar nossos clientes a minimizar os riscos associados a vulnerabilidades de segurança em nossos produtos. Nosso objetivo é fornecer aos clientes informações, orientações e opções de atenuação em tempo hábil para lidar com as vulnerabilidades. A Equipe de Resposta a Incidentes de Segurança de Produtos da RSA (RSA PSIRT) foi criada e é responsável por coordenar a resposta e a divulgação de todas as vulnerabilidades de produtos relatadas à RSA.

Como relatar uma vulnerabilidade de segurança

Se você identificar uma vulnerabilidade de segurança em qualquer produto da RSA, informe-nos imediatamente. Pesquisadores de segurança, grupos do setor, fornecedores e outros usuários que não têm acesso ao Suporte Técnico devem enviar relatórios de vulnerabilidade diretamente para a RSA PSIRT por e-mail. A identificação oportuna de vulnerabilidades de segurança é fundamental para reduzir os possíveis riscos para nossos clientes.

Os clientes e parceiros de produtos da RSA devem entrar em contato com suas respectivas equipes de Suporte Técnico para relatar quaisquer problemas de segurança descobertos nos produtos da RSA. A equipe de Suporte Técnico, a equipe de produto apropriada e o PSIRT da RSA trabalharão juntos para resolver o problema relatado e fornecer aos clientes as próximas etapas.

Ao relatar uma possível vulnerabilidade, inclua o máximo possível das informações abaixo para nos ajudar a entender melhor a natureza e o escopo do problema relatado:

  • Nome do produto e versão que contém a vulnerabilidade
  • Informações sobre o ambiente ou sistema em que o problema foi reproduzido (por exemplo, número do modelo do produto, versão do sistema operacional, etc.)
  • Tipo e/ou classe de vulnerabilidade (XSS, estouro de buffer, RCE, CWE), etc.)
  • Instruções passo a passo para reproduzir a vulnerabilidade
  • Prova de conceito ou código de exploração
  • Impacto potencial da vulnerabilidade

Manuseio de relatórios de vulnerabilidade

A RSA acredita na manutenção de um bom relacionamento com os pesquisadores de segurança e, com sua concordância, pode reconhecer o pesquisador por encontrar uma vulnerabilidade válida no produto e relatar o problema em particular. Em troca, pedimos que os pesquisadores nos dêem a oportunidade de corrigir a vulnerabilidade antes de divulgá-la publicamente. A RSA acredita que coordenar a divulgação pública de uma vulnerabilidade é fundamental para proteger nossos clientes.

De acordo com essa política, todas as informações divulgadas sobre vulnerabilidades devem ser mantidas entre a RSA e a parte informante - se as informações ainda não forem de conhecimento público - até que uma solução esteja disponível e as atividades de divulgação sejam coordenadas.

Remediação de vulnerabilidades

Após investigar e validar uma vulnerabilidade relatada, tentaremos desenvolver e qualificar a solução apropriada para os produtos com suporte ativo da RSA. Uma solução pode assumir uma ou mais das seguintes formas:

  • Uma nova versão do produto afetado empacotado pela RSA;
  • Um patch fornecido pela RSA que pode ser instalado sobre o produto afetado;
  • Instruções para baixar e instalar uma atualização ou patch de um fornecedor terceirizado que seja necessário para atenuar a vulnerabilidade;
  • Um procedimento corretivo ou solução alternativa publicada pela RSA que instrui os usuários a ajustar a configuração do produto para atenuar a vulnerabilidade.

A RSA se esforça ao máximo para fornecer a solução ou a ação corretiva no menor tempo comercialmente razoável. Os prazos de resposta dependem de muitos fatores, como a gravidade, o impacto, a complexidade da solução, o componente afetado (por exemplo, algumas atualizações exigem ciclos de validação mais longos ou só podem ser atualizadas em uma versão principal), o estágio do produto em seu ciclo de vida e o status das operações comerciais, entre outros.

Avaliações de impacto e gravidade

Atualmente, a RSA usa o Sistema de pontuação de vulnerabilidade comum versão 3.1 (CVSS v3.1) para comunicar as características e a gravidade das vulnerabilidades de software da RSA. Muitos fatores, inclusive o nível de esforço necessário para explorar uma vulnerabilidade, bem como o possível impacto nos dados ou nas atividades comerciais de uma exploração bem-sucedida, são levados em consideração.

O impacto geral de uma consultoria de segurança é uma representação textual da gravidade (ou seja, crítica, alta, média e baixa) que segue a Escala de Classificação Qualitativa de Gravidade CVSS para a Pontuação Base CVSS mais alta de todas as vulnerabilidades identificadas. Quando e onde aplicável, a RSA fornecerá um impacto geral para a consultoria e, para cada vulnerabilidade identificada, a Pontuação Básica CVSS v3.1 e o Vetor CVSS v3.1 correspondente. A RSA recomenda que todos os clientes levem em conta a pontuação básica e quaisquer métricas temporais e/ou ambientais que possam ser relevantes para seu ambiente para avaliar seu risco geral.

Comunicação da Remedy

Normalmente, comunicamos as soluções aos clientes por meio dos RSA Security Advisories, quando aplicável. Para proteger nossos clientes, a RSA se esforça para liberar um Security Advisory assim que tivermos uma solução implementada para qualquer produto afetado. A RSA pode liberar Avisos de Segurança mais cedo para responder adequadamente a divulgações públicas ou vulnerabilidades amplamente conhecidas nos componentes usados em nossos produtos.

Os avisos de segurança têm o objetivo de fornecer detalhes suficientes para permitir que os clientes avaliem o impacto das vulnerabilidades e corrijam produtos potencialmente vulneráveis. Os detalhes completos podem ser limitados para reduzir a probabilidade de que usuários mal-intencionados possam tirar proveito das informações e explorá-las em detrimento de nossos clientes.

Os avisos de segurança da RSA normalmente incluem as seguintes informações, conforme aplicável:

  • O impacto geral, que é uma representação textual da gravidade (ou seja, crítica, alta, média e baixa) que segue a escala de classificação qualitativa de gravidade do CVSS para a pontuação básica mais alta do CVSS de todas as vulnerabilidades identificadas;
  • Produtos e versões afetados;
  • A pontuação básica e o vetor do CVSS para todas as vulnerabilidades identificadas;
  • Enumeração de vulnerabilidades comuns (CVE) para todas as vulnerabilidades identificadas, de modo que as informações de cada vulnerabilidade exclusiva possam ser compartilhadas entre vários recursos de gerenciamento de vulnerabilidades (por exemplo, ferramentas como scanners de vulnerabilidades, repositórios e serviços);
  • Breve descrição da vulnerabilidade e o possível impacto se for explorada;
  • Detalhes da correção com informações de atualização/resolução;
  • Agradecimento ao localizador por relatar a vulnerabilidade e trabalhar com a RSA em uma versão coordenada, conforme aplicável.

Informações adicionais de divulgação

A política da RSA é não fornecer informações sobre as especificidades das vulnerabilidades além do que é fornecido no Security Advisory e na documentação relacionada, como notas de versão, artigos da base de conhecimento, perguntas frequentes, etc. Não distribuímos códigos de exploração/prova de conceito para vulnerabilidades identificadas. De acordo com as práticas do setor, a RSA não compartilha os resultados de seus testes internos de segurança ou outros tipos de atividades de segurança com entidades externas.

Notificar a RSA sobre outros problemas de segurança

Se precisar relatar qualquer outro problema de segurança à RSA, use os contatos apropriados listados abaixo:

Problema de segurança Informações de contato
Para relatar uma vulnerabilidade ou um problema de segurança no RSA.com ou em outro serviço on-line, aplicativo da Web ou propriedade Envie um relatório para responsibledisclosure@rsa.com com instruções passo a passo para reproduzir o problema.
Para enviar solicitações ou perguntas relacionadas à privacidade Veja Privacidade RSA página.

 

Direitos do cliente: Garantias, suporte e manutenção

Os direitos dos clientes da RSA com relação a garantias, suporte e manutenção - incluindo vulnerabilidades em qualquer produto de software da RSA - são regidos pelo contrato aplicável entre a RSA e o cliente individual. As declarações nesta página da Web não modificam, ampliam ou de outra forma alteram quaisquer direitos do cliente ou criam quaisquer garantias adicionais.

Isenção de responsabilidade

Todos os aspectos da Política de Resposta a Vulnerabilidades da RSA estão sujeitos a alterações sem aviso prévio e de acordo com cada caso. A resposta não é garantida para nenhum problema específico ou classe de problemas. O uso das informações contidas neste documento ou dos materiais vinculados a ele é feito por sua própria conta e risco. A RSA se reserva o direito de alterar ou atualizar este documento a seu exclusivo critério e sem aviso prévio a qualquer momento.